EU-Kommission plant Änderungen der DSGVO

Durch die Änderung soll die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden deutlich vereinfacht und das „Irland-Problem“ gelöst werden.

Mit ihrer Ankündigung zur Änderung der DSGVO reagiert die EU-Kommission auf eine Initiative des Europäischen Datenschutzausschusses (EDSA, engl. EDPB, European Data Protection Board), die im Oktober 2022 veröffentlicht wurde. Darin fordert der EDSA unter anderem verbindliche Fristen für die Weiterleitung von Beschwerden und die Einführung einer generellen Bearbeitungsfrist kompletter Beschwerdeverfahren.

Irische DPC arbeitet zu langsam und setzt die DSGVO nicht entschlossen genug um

Bisher sieht die DSGVO vor, dass es für Unternehmen bei grenzüberschreitenden Datenverarbeitungen eine federführende Aufsichtsbehörde gibt, die alleiniger Ansprechpartner ist. Diese hat zunächst allein das Recht, Beschlüsse über Strafmaßnahmen bei DSGVO-Verstößen zu erlassen. Zuständig und federführend ist in aller Regel die Aufsichtsbehörde, bei der eine Beschwerde ursprünglich eingereicht wird (Art. 4 Nr. 22 DSGVO). Die federführende Aufsichtsbehörde muss mit allen anderen betroffenen europäischen Aufsichtsbehörden zusammenarbeiten und diesen einen Beschlussentwurf übermitteln. Bei Unstimmigkeiten können andere Aufsichtsbehörden Einspruch gegen den Beschlussentwurf einlegen. Gibt es keine Einigung, muss der EDSA einen verbindlichen Beschluss fassen (Art. 65 DSGVO).

Da die meisten großen Technologieunternehmen, wie Meta (Facebook, Instagram und WhatsApp), Microsoft, Apple, Google und Twitter, ihren europäischen Unternehmenssitz in Irland haben, ist die federführende Aufsichtsbehörde für sie die irische Datenschutzbehörde DPC (Data Protection Commission). Bürgerrechtsorganisationen und Datenschützer bemängeln schon seit langem, dass die DPC Beschwerden viel zu langsam bearbeitet und trotz der Verhängung einzelner Geldstrafen in Millionenhöhe DSGVO-Verstöße nicht angemessen ahndet. Hinzu kommt, dass die Aufsichtsbehörden immer wieder über die Beschlussentwürfe der DPC streiten und nach langen internen Auseinandersetzungen der EDSA gegen die irische Behörde entscheidet.

Verbindliche Fristen und einheitliches Beschwerdefahren

Es ist damit zu rechnen, dass die kommenden DSGVO-Änderungen den Forderungen des EDSA weitestgehend entsprechen. Angepasst werden vor allem die Artikel der DSGVO, die sich mit der grenzübergreifenden Zusammenarbeit befassen (Art. 60 ff. DSGVO). Neben der Einführung verbindlicher Fristen für die Weiterleitung von Beschwerden und einer generellen Bearbeitungsfrist für Einzelfälle soll auch die Zusammenarbeit der Behörden verbessert werden. Dabei sollen Abläufe vereinheitlicht und konkret festgelegt werden, welche Dokumente die Aufsichtsbehörden untereinander austauschen. Die Harmonisierung des Beschwerdeverfahrens soll dazu führen, dass die Zulässigkeit einer Beschwerde nicht erneut in einem Mitgliedsland untersucht wird, wenn die formalen Anforderungen bereits in einem anderen Mitgliedsland geprüft wurden.

Ermittlungsbefugnisse und standardisierte Beteiligtenrechte

Ebenfalls vereinheitlicht und konkret geregelt werden sollen die Ermittlungsbefugnisse der Aufsichtsbehörden. Um zu verhindern, dass mehrere Aufsichtsbehörden gleichzeitig Anfangsermittlungen durchführen, soll in der DSGVO eine zentrale Vorprüfung festgelegt werden, die die Ermittlungen der Einzelbehörden regelt. Festgelegt werden sollen dabei auch Angaben zum Umfang der Ermittlungen.

Die Rechte der Beschwerdeführer sind in Bezug auf das Akteneinsichtsrecht und die Geheimhaltungspflichten in den Mitgliedsländern der EU momentan noch unterschiedlich geregelt. Standardisierte Beteiligtenrechte, die für alle EU-Länder gelten, sollen dies ändern: Die DSGVO soll bald auch Auskunft darüber geben, welche Geheimhaltungspflichten gelten und welche Inhalte davon betroffen sind.